24 octubre 2012

Resumen de comentarios a la versión de PCI DSS

En estos momentos nos encontramos en la etapa 6 del ciclo de vida de PCI DSS, "Feedback Review" o revisión de comentarios y el PCI Security Standard Council ha publicado un resumen de los comentarios que ha recibido (pdf) que me ha parecido interesante porque, se supone, que la nueva versión del estándar incluirá modificaciones y/o aclaraciones, sobre todo, en esos puntos.

Los puntos más comentados (suponen más de la mitad del total, el 54%) han sido los siguientes:
  • Requerimiento 11.2 [13%] - Prescribir el uso de herramientas específicas, solicitar a los ASV la realización de escaneos internos y definir que supone un "cambio significativo".
  • Alcance [10%] - Proporcionar una guía detallada para definir el alcance y la segmentación.
  • Requerimiento 12.8 [8%] - Clarificar los términos "proveedor de servicios" y "compartido" y proporcionar unos requerimientos más prescriptivos para los acuerdos escritos que aplican a los proveedores de servicio.
  • SAQs [8%] - Considerar actualizar los SAQs; son, o bien, demasiado complejos (difíciles de comprender) o bien no son suficientemente detallados.
  • Requerimiento 3.4 [8%] - Los requerimientos de gestión de clave y de cifrado son complejos; proporcionar una mayor claridad. El truncado / tokenizado / hashing no es un método conveniente para almacenar y recuperar datos; proporcionar mayor guía.
  • Requerimiento 8.5 [7%] - Considerar actualizar los requisitos de las contraseñas (expandir la autenticación más allá de las contraseñas). Los requisitos actuales sobre contraseñas son muy o poco estrictos; ser más o menos prescriptivos.
Ya veremos como queda la nueva versión del próximo verano...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

10 octubre 2012

¿Cuál es la madurez de los servicios cloud?


(Publicación cruzada con el blog de INTECO)

Pues si hacemos caso a CSA e ISACA habría que decir que se encuentran en su más tierna infancia. Efectivamente esta ha sido la conclusión del estudio que han realizado ambas organizaciones y en el que he tenido el placer de colaborar. Sobre la base de una encuesta en la que han participado 252 organizaciones de 48 países (principalmente en Norteamérica - 48% - y Europa - 23% - y usuarios de SaaS - 62%) se ha concluido que, considerando cuatro niveles de madurez (infancia, crecimiento, madurez y declive), los servicios de infraestructura y plataforma como servicio (IaaS y PaaS, respectivamente) se encuentran en la etapa inicial y los de software como servicio (SaaS) están entrando en la fase de crecimiento.

Y, aunque la conclusión es que el mercado piensa que los servicios en la nube están cumpliendo las expectativas estratégicas y de servicio y que los problemas serán superados, no es menos cierto que se identifican ciertas preocupaciones:
  • Que la computación en la nube sea considerada un aspecto técnico (una nueva versión del típico outsourcing) y que, como está pasando, sus riesgos sean analizados como riesgos tecnológicos más que como riesgos de negocio, puesto que este tratamiento limitará el potencial la nube.
  • Las dificultades existentes para especificar los riesgos técnicos y de negocio en los contratos.
  • La longevidad del proveedor.
  • La comprensión de las responsabilidades del propietario de datos y del custodio.
  • Los aspectos legales.
  • El lock-in en los contratos.
  • La disposición de estrategias de salida en caso de querer volver a un tratamiento in house o ir a otro proveedor.
  • Las regulaciones gubernamentales porque sigan una evolución muy diferente al mercado.
  • Y, en definitiva, que los usuarios necesitan confiar en los servicios por lo que los mecanismos de garantía y de transparencia deben mejorar.

Frente a esto, los participantes en el estudio también han identificado los aspectos que están siendo adecuadamente contemplados por la computación en la nube:
  • La disponibilidad
  • La continuidad del negocio
  • La recuperación en caso de desastres
  • El rendimiento del servicio
  • Los cortes en el servicio
  • La resolución de problemas

Finalmente, destacar que los factores que inciden en la toma de decisiones son, por orden de importancia:
  1. Los facilitadores de negocio (principalmente, fiabilidad y disponibilidad)
  2. Las consideraciones financieras (especialmente, la reducción de costes)
  3. La reducción de la huella en el medio

Como se puede ver, un estudio que nos ayuda a entender la situación actual, que dibuja un futuro esperanzados para la computación en la nube y que nos ayuda a identificar los retos para los próximos años… veremos si somos capaces de superarlos…

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

08 octubre 2012

¿Entran los datos de pre-autorización en el alcance de PCI DSS?

(Publicación cruzada en n+1 tiende a infinito)

El asunto de los datos sensibles de autenticación antes de la autorización de la operación siempre ha sido una cuestión delicada... básicamente, porque PCI DSS establece requerimientos para estos datos post-autorización pero deja los datos pre-autorización en una nebulosa. Concretamente, el requerimiento 3.2 reza: "No almacenar los datos sensibles de autenticación después de la autorización (ni cifrados)". 

Pero, efectivamente nada sobre estos datos antes de la autorización, por tanto, ¿qué hacemos con ellos? ¿Están incluidos en el alcance de PCI-DSS o no? 

Pues, para solventar estas dudas, como siempre, lo mejor es recurrir a la sección de preguntas frequentes del PCI Security Standard Council, en este caso al artículo 12917, que reproducimos de manera íntegra por su interés y claridad:
"Sí, PCI DSS aplica siempre que se almacenen, procesen o transmitan datos de titulares de tarjeta (CHD) y/o datos sensibles de autenticación (SAD) con independencia de que sea pre-autorización o post-autorización. No existen reglas específicas en PCI DSS sobre cuánto tiempo pueden almacenarse este tipo de datos (CHD o SAD) antes de la autorización, pero necesitan ser protegidos de acuerdo a PCI DSS. El uso de dispositivos de pago validados PTS y aplicaciones de pago validados PA-DSS pueden ayudar al cumplimiento de PCI DSS para la protección de estos datos antes de la autorización.
En relación a los SAD, el requerimiento 3.2 prohíbe el almacenamiento de los SAD DESPUÉS de la autorización, incluso cifrados. Si se permite almacenar los SAD antes de la autorización lo determinan las marcas de tarjetas de manera individual, incluyendo cualquier uso relacionado y los requisitos de protección. Adicionalmente, varias marcas de tarjetas tienen reglas muy concretas que prohíben cualquier almacenamiento de SAD y no hacen ninguna excepción. Para determinar los requisitos de las marcas de tarjetas, contacte directamente con las marcas de tarjeta directamente." 
En resumen, debemos preguntar a las marcas si se nos permite almacenar estos datos antes de la autorización y, en ese caso, qué medidas de seguridad debemos aplicarles para su protección... o como suelen decir: "Depende".

... ¿todavía no me sigues en twitter.com/antonio_ramosga?